数据保密性通俗来说就是避免数据被不该看到第三方看到。最常见的方式就是通过对明文信息进行加密后传给对方。既然是加密,那么肯定涉及到加密算法,目前涉及的加密算法根据加密密钥和解密密钥是否相同分为对称加密算法和非对称加密算法。等级测评中比较常见的是对称加密算法,非对称加密算法比较少见,原因嘛,就是非对称加密算法对性能影响较大,加解密速度慢。
02
传输保密性
传输过程中的保密性主要有2种方式来实现,一个是最常见的安全通信协议,比如SSH、HTTPS(T:LS)等,另一个对传输的数据进行单独加密,然后通过明文不安全的HTTP、TELNET、FTP协议进行传输。
因此在测评实践中,建议首先核查是否采用安全通信协议,比如对于Linux、网络设备、安全设备主要核查是否采用SSH或者HTTPS协议,若未采用,直接判定不符合。
对Windows操作系统则判断操作系统版本和何种远程管理方式,WindowsServer2003或WindowsXP以下,默认的RDP未加密,若使用RDP,则不符合,若WIndows7或WIndowsServer2003SP2以上版本,则默认符合。若采用VNC,默认不符合;若采用Teamviewer、向日葵等,默认符合。
对于数据库则判断是否启用SSL或TLS协议。常见的MSSQL、Oracle、MYSQL等,默认是不符合的,需要手动启用SSL或TLS协议。
对于应用系统而言,若为C/S架构,一般不符合,因为C/S架构大部分通过TCP协议直接或通过中间件连接数据库,TCP本身默认是无法提供传输的保密性的,除非使用了TLS、IPSEC等协议保护。若为B/S架构,一般核查是否采用HTTPS协议,若采用了HTTPS,直接判断符合,若未采用,通过wireshark或burosuite进一步抓包判断是否对字段进行加密。若未加密,则不符合,若已加密,则符合。HTTPS可以使用自签名的SSL证书,因为证书仅用来认证服务器的,不影响加密算法。
03
存储保密性
不同于传输保密性,存储保密性仅只能通过数据加密存储一种方式,无法通过加密的通信协议来实现。
对于网络设备,核查配置文件是否启用加密功能,对口令是否加密存储;
对于安全设备,默认符合,因为市场大部分的安全设备默认都是将口令等鉴别信息加密后存储的;
对于Windows和Linux,默认也是符合,因为鉴别数据默认都是SHA512等算法加密存储;
对于数据库系统,一般默认不符合,主要先核查启用数据库加密功能,若未启用,进一步核查数据库的业务数据所有字段是否均为加密存储,若加密存储,符合。
对于应用系统,不适用,因为鉴别数据和业务数据已在数据库中核查了一次,无需重复核查。
原文始发于微信公众号(等级保护那些事):等级测评之数据保密性
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论